УДК 343.72
Жилкина Софья Андреевна Московский государственный университет им. М. В. Ломоносова Высшая школа государственного аудита (факультет)
Россия, Москва [email protected] Zhilkina Sofya Moscow State University M.V. Lomonosov Higher School of State Audit (Faculty)
Russia, Moscow
АКТУАЛЬНЫЕ ВОПРОСЫ ПРЕСТУПЛЕНИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ IOT (ИНТЕРНЕТА ВЕЩЕЙ) Аннотация: в настоящей статье автор представит краткий обзор актуальных проблем правового регулирования отношений и преступлений, связанный с использованием Интернета вещей. Важно определить, насколько безопасно с юридической точки зрения использование IoT.
Ключевые слова: преступления, расследования, информационные технологии, легализация, мошенничество, Интернет вещей.
CURRENT ISSUES OF CRIMES RELATED TO THE USE OF THE IOT
(INTERNET OF THINGS) Annotation: in this article, the author will provide a brief overview of the current legal issues and crimes related to the use of the Internet of Things. It is important to determine whether it is legally safe to use the Iot.
Key words: crimes, investigations, information technology, legalization, fraud, IoT.
Современная российская экономика, включая государственный сектор, знакома с технологиями интернета вещей и учитывает потенциал IoT в стратегическом планировании развития Российской Федерации. Обратимся к
Прогнозу долгосрочного социально-экономического развития Российской Федерации на период до 2030 г.; в одном из разделов речь идет о развитии информационно-телекоммуникационные системы. В вышеупомянутом документе интернет вещей определяется законодателем, как информатизация «различных предметов и включение их в единую сеть сетей» и обозначается в числе ключевых научно-технических трендов, формирующих облик информационно-телекоммуникационных систем как приоритетного направления развития науки, технологий и техники в Российской Федерации, а также является результатом эволюции сети Интернет. Одновременно с этим в бизнес-сообществе наблюдается и фактический рост популярности интернета вещей, на что неустанно обращают внимание профессиональные участники отрасли. По оценке Morgan Stanley, число устройств, соединенных в рамках интернета вещей, к 2020 г. может превысить 75 млрд [10, с. 25].
Развитие интернета вещей (от англ. Internet of Things- сокр.1оТ) может привести к различным проблемам, связанным с правовым регулированием передачи и использования личных данных пользователей. Так, уже ведутся активные дискуссии в обществе на предмет возможного нарушения конфиденциальности, злоупотребления данными, кражи личных данных, доступа к информации и проблемам контроля. В данной работе мы постараемся выделить основные зоны риска в использовании IoT, которые могут стать причиной преступных посягательств злоумышленников.
Аспекты конфиденциальности. Конфиденциальность людей и конфиденциальность бизнес-процессов [6, с. 122] - это две основные проблемы, связанные с IoT. Проблемы безопасности и конфиденциальности возникают, когда идентифицируемая «вещь» встречает «субъекта», то есть пользователя Интернета [7, с. 33]. Была разработана технология шифрования, и одна из основных задач заключается в том, чтобы сделать алгоритмы шифрования / дешифрования более быстрыми и менее энергозатратными для устройств IoT с ограниченными ресурсами. Однако технологии сохранения конфиденциальности все еще находятся в стартовом состоянии разработки:
прослеживается ограниченность ресурсов, целостный подход к вопросу сохранения конфиденциальности еще не разработан. Новые концепции, такие как Privacy by Design, должны быть исследованы, тщательно протестированы и реализованы.
Следующие вопросы конфиденциальности и защиты данных, связанные с IoT [8, с. 16]:
Непрерывность и доступность услуг. Проблема непрерывности и доступности услуг актуализируется с распространением IoT, поскольку растет число предприятий и людей, использующих новые продукты, приложения и услуги. Интеграция устройств IoT в нашу повседневную жизнь, особенно в общественно важные системы (такие как здравоохранение, безопасность и энергоснабжение), увеличивает влияние потенциальной потери услуги.
«Чувствительность» данных пользователя: интеллектуальные сервисы собирают все больше и больше информации о пользователе (добровольно или даже без уведомления), поэтому возникает вопрос о чувствительности этих данных. Из-за растущего объема информации IoT усложняет эту проблему. Фактическая «чувствительность» собранной информации не всегда известна во время принятия решения о сборе данных. В IoT риски, связанные с конфиденциальностью и безопасностью данных, зависят от контекста и цели сбора и использования данных. Поэтому необходимо контекстно-зависимое управление безопасностью и защитой данных.
Безопасность пользовательских данных. Пользовательские данные должны быть защищены от несанкционированного доступа, и эта безопасность должна обеспечиваться на каждом уровне связи. Таким образом, разнообразие устройств IoT и растущее число характерных каналов делают эту защиту сложной. Потенциальное влияние нарушений безопасности также возрастает, так как хранимые данные имеют все больше приложений, и, таким образом, предоставляют все больше и больше информации о пользователе и предоставляют все больший доступ к особо важным сторонам нашей жизни.
Управление данными: даже когда безопасность пользовательских данных может быть гарантированно защищена от несанкционированного доступа, вопрос о фактическом управлении и хранении информации поставщиком услуг остается открытым.
Право собственности и перепрофилирование данных. Вопрос о праве собственности на собранные данные также важен в связи с вопросом этики 1оТ: получение прав собственности или доступа к пользовательским данным и перепродажа этих данных могут быть источником дохода.
Возможность перехвата данных: хотя сервис все больше и больше используется пользователем, этические вопросы (что происходит с пользовательскими данными, если пользователь покидает сервис, и насколько реально для клиента сменить поставщика услуг, предоставившего услугу долгое время) остаются без ответа. Эти вопросы важны для того, чтобы избежать перехвата данных потребителей, которые могут привести к несправедливому преимуществу, нарушению конкуренции, подавлению выбора потребителя, ухудшению качества обслуживания пользователей и снижению инноваций.
Применяемое законодательство: в связи с глобальным характером 1оТ и числом заинтересованных сторон, обязательно участвующих в развертывании 1оТ, возникает вопрос об ответственности и применимом законодательстве. Это подтверждается тем фактом, что различные субъекты 1оТ будут распространяться по разным странам и регионам, увеличивая число потенциальных законодательных актов. Этот вопрос важен не только для пользователей, которые могут быть сбиты с толку, какому законодательству они следуют, но и для политиков и всей цепочки создания стоимости и использования 1оТ, поскольку разработка приложений и развертывание 1оТ без четко определенной цепочки обязанностей и применимого права представляют собой сильные бизнес-риски.
Судебная практика в сфере законодательства о персональных данных в странах ЕС и США свидетельствует о расширении понятия «персональные
данные» за счет включение в него новых видов информации, связанной с пользователями (например, 1Р-адреса) или чувствительной информации, которая может быть использована для мошеннических действий (почтовый индекс - в США).
Отечественная судебная практика также характеризуется трендом на более широкое толкование понятия «персональные данные», за счет включения в него онлайн-идентификаторов вроде хэш-ГО [13]. При этом отечественная практика характеризуется:
1. механическим применением положений законодательства о персональных данных, не сопровождающимся их глубоким анализом;
2. согласием судов с квалификацией отношений, произведенной Роскомнадзором;
3. отсутствием глубокого анализа ситуации, применения оценочных категорий (например, общих принципов обработки персональных данных), присущего судебной и административной практике иностранных юрисдикций (ЕС, США, Сингапур).
«Прослеживаемость» пользователей: механизмы безопасности должны предотвращать «прослеживаемость» пользователей по всей сети, что, в свою очередь, может нанести ущерб конфиденциальности конечных пользователей, предоставляя злоумышленнику данные, которые могут быть проанализированы с целью определения моделей поведения пользователя [9, с.87]. Все эти проблемы приводят к так называемому "парадоксу конфиденциальности" [5, с.49]: собирая личные данные, пользователям могут быть предложены лучшие «персонализированные» услуги; но эти личные данные могут быть обработаны методами интеллектуального анализа данных и собраны в профили пользователей, которые могут быть достаточно подробными, чтобы позволить идентифицировать пользователя. Когда эти «персональные данные» будут раскрыты, владелец данных не сможет контролировать, как сборщик данных будет их использовать. Если так, то возникает вопрос - должен ли пользователь
иметь возможность отказаться от раскрытия личной информации и в то же время отказаться от услуг по улучшению жизни.
Аспект безопасности. Компьютерная безопасность включает в себя все процессы и механизмы, защищающие компьютерное оборудование, информацию и услуги от случайного или несанкционированного доступа, модификации или уничтожения. Следующие вопросы безопасности, связанные с М:
1. архитектура безопасности, которая описывает системные элементы, ответственные за управление безопасностью в течение жизненного цикла вещи;
2. модель безопасности узла, которая описывает, как параметры безопасности, процессы и приложения управляются в вещи;
3. загрузочная загрузка безопасности, которая определяет, как вещь может безопасно присоединиться к IoT в данном месте и в данный момент времени;
4. сетевая безопасность, которая описывает механизмы, применяемые в сети для обеспечения надежной работы ^^
5. безопасность приложений, которая гарантирует, что только доверенные объекты могут взаимодействовать друг с другом.
Безопасность компьютерной сети состоит из мер предосторожности, принятых для предотвращения несанкционированного доступа, неправильного использования, модификации, блокировки компьютера и сетевых ресурсов, доступных через сеть. Сетевая безопасность включает авторизацию данных доступа к сети, которой управляет сетевой администратор. Интернет является небезопасным каналом обмена информацией, что приводит к высокому риску мошенничества или перехвата личных данных пользователя. IoT основан на компьютерных сетях и Интернете для поддержания связи между объектами, а также между людьми и вещами, поэтому он имеет отношение ко всем вопросам компьютерной сети и безопасности Интернета. Перед использованием смарт -чипов, компании и государственные органы должны оценивать их влияние на конфиденциальность и защиту данных. На основе этих оценок,
сертифицированных национальными органами по защите данных, должна быть обеспечена безопасность персональных данных и надежная безопасность [11, с. 32].
Как и традиционная преступность, киберпреступность имеет много различных аспектов и может происходить в самых разных сценариях. Существующие определения киберпреступности различаются в зависимости от точки зрения жертвы, защитника и наблюдателя. Ньюмен определяет киберпреступность как поведение, в котором компьютеры или компьютерные сети являются инструментом, целью или местом преступной деятельности. Это включает как средства и методы совершения нападений на информационные активы, так и использование компьютеров для совершения "традиционного" преступления. В Договоре о киберпреступности Совета Европы термин "киберпреступность" используется для описания различных преступлений, начиная от преступной деятельности против данных и заканчивая нарушением авторских прав. "Руководство Организации Объединенных Наций по предупреждению преступности, связанной с использованием компьютеров, и борьбе с ней" также включает несанкционированный доступ, мошенничество и подделку в свое определение киберпреступности.
Конвенция Совета Европы о киберпреступности [15] постулирует четыре различных вида преступлений:
1) преступления против целостности, конфиденциальности и доступности компьютерных данных и компьютерных систем;
2) преступления, связанные с компьютерами;
3) преступления, связанные с содержанием программного обеспечения;
4) преступления, связанные с авторским правом.
Эта классификация непоследовательна, поскольку существует смежные области между категориями.
Некоторые ученые классифицируют киберпреступность следующим образом [11, с.67]: преступления с использованием данных включают перехват данных (злоумышленник отслеживает потоки данных к цели или от цели с
целью сбора информации), модификацию данных (перехват данных в пути и изменение частей этих данных перед их повторной передачей) и кражу данных (незаконная копия или кража данных у бизнеса или другого лица).
Сетевые преступления включают в себя вмешательство в функции компьютерной сети путем ввода, передачи, повреждения, изменения или подавления сетевых данных.Преступления, связанные с доступом, относятся к несанкционированному доступу и распространению вирусов. Преступления, связанные с контентом - нарушения авторских прав, незапрошенные коммерческие сообщения и кибер-угрозы.
В целом, киберпреступления - это преступления, в которых:
1) компьютер или сеть используются главным образом в качестве инструментов, включая спам и уголовные нарушения авторских прав, 2) компьютер или сеть является объектом преступной деятельности, включая несанкционированный доступ, вредоносное ПО и взлом, 3) компьютер или сеть является местом преступной деятельности, финансовые махинации, 4) традиционные преступления, совершаемые с помощью компьютеров или сетей 5) другие информационные преступления, совершаемые с помощью компьютеров или сетей, такие как кража.
Киберпреступность эволюционировала от традиционных преступлений (таких как мошенничество) в результате технического прогресса, который расширил пространство обычных преступлений, предоставляя более (изощренные) средства, больше возможностей и новых оснований и целей действий [5, с. 89]. Что касается общих средств, то Информационно -коммуникационные технологии (ИКТ) расширяются как для ускорения, так и для охвата преступной деятельности. Возможность часто рассматривается как еще один решающий элемент или даже как первичный провоцирующий фактор в инициировании преступного деяния [6, с. 134]. Интернет сам по себе является богатой возможностями средой для преступной деятельности, поскольку он изначально не был разработан с учетом безопасности. В дополнение к повышению доступности преступных объектов также расширяет возможности
доступа к информации, инструментам и поддержке для совершения мисдиминоров. Наконец, широкое измерение и сложность кибернетического контекста открывают возможности для сокрытия преступлений от общественности в силу виртуального характера преступных методов.
Интернет вещей (IoT) создает новые проблемы для защиты данных и конфиденциальности конечных пользователей: пользователи не захотят принимать IoT, который невидимо смешивается с их средой обитания, не будучи уверенными в том, что безопасность частной информации гарантируется и обеспечивается адекватная безопасность. Соединяя все "вещи" в глобальной инфраструктуре интернета и имея "вещи", сообщающиеся друг с другом, возникают новые проблемы безопасности и конфиденциальности, например, конфиденциальность, подлинность и целостность данных, воспринимаемых и обмениваемых "вещами". В целом же, безопасность людей и вещей в IoT должна быть обеспечена должным образом для предотвращения и борьбы с киберпреступлениями.
Список литературы:
1. Marias, G. F., Barros, J., Fiedler, M., Fischer, A., Hauff, H., Herkenhoener, R., Grillo, A., Lentini, A., Lima, L., Lorentzen, C., Mazurczyk, W., de Meer, H., Oliveira, P. F., Polyzos, G. C., Pujol, E., Szczypiorski, K., Vilela, J. P. and Vinhoza, T. T. V. (2012), Security and privacy issues for the network of the future. Security Comm. Networks, 5: 987-1005. doi: 10.1002/sec.384.
2. Loch K. D., Carr H. H., and Warkentin, M. E. Threats to information systems: today's reality, yesterday'sunderstanding,MISQuarterly,vol.16,iss. 2, 2012.-С. 173-185.
3. ITU (International Telecommunication Union). The Internet of Things. ITU Report, Nov.2005. С.98.
4. Felson, M. andClarke, R.V.Opportunity Makes the Thief: Practical Theory for Crime Prevention. Police Research Series, Home Office, London.Paper 98, 1998. С. 211.
5. Helfenstein S., and Saariluoma P. How cyber breeds crime and criminals. In V. Snasel (Ed.), DigitalSec 2014 Proceedings: The International Conference on Digital Security and Forensics Wilmington: The Society of Digital Information and Wireless Communications(SDIWC), 2013. С. 134-156.
6. Sundmaeker, H., P. Guillemin, P. Friess, S. Woelffle (Eds.). Vision and challenges for realising the Internet of things. Luxembourg, 2010. С. 229.
7. Liebrand K. et all. (2011) Ethics, Privacy and Data Protectionin BUTLER.http://www.iot-butler.eu/wp-content/plugins/download- monitor/download. php?id=24 (дата обращения 10.04.2020 г.).
8. Nieto A., and Lopez J. (2014), Analysis and taxonomy of security/QoS tradeoff solutions for the future internet, Security Comm. Networks, 7, 2778- 2803, doi: 10.1002/sec.809, 2009. С. 238.
9. Newman, G. R. Cybercrime, In Krohn M. D., Lizotte A. J., and Hall G. P. (Eds.). Handbook on Crime and Deviance, Criminology and Criminal Justice Series, Springer Science, 2009. С. 551-584.
10. Danova T. Morgan Stanley: 75 Billion Devices Will Be Connected to the Internet of Things by 2020 // Business Insider, N. 2 (October), 2013. - С.283.
11. SainiH.,RaoY.S.,andPandaT.C.International Journal of Engineering Research and Applications (IJERA), Vol. 2, Issue 2,Mar-Apr 2012. - С.202-209.
12. Решение Арбитражного суда г. Москвы от 5 мая 2017 г. по делу № А40-5250/17-144-51, оставленное без изменений постановлением ФАС Московского округа от 09.11.2017 г.
13. Sundmaeker H., Guillemin P., Friess P., Woelffle S. Vision and Challenges for Realising the Internet of Things. European cluster CERP-IoT, European Union, March 2010. -С. 11-24.
14.Конвенция Совета Европы о компьютерных преступлениях, Будапешт, 23 ноября 2001 (дата обращения 22.04.2020).